• SAO アリシゼーション(UW編) セキュリティインシデントまとめと考察

    2019-11-02 20:39

    大変ご無沙汰しております。

    ここでは、同タイトルにおいて発生しているIT的なセキュリティインシデントと、
    それに対する現実的な対策を挙げてみようと思います。
    ストーリーやキャラクター説明は殆ど省くので、ぜひ原作やアニメを見てみてください!
    (AmazonプライムビデオでSAO1/2、UW編Season1、2全て配信中)
    まだまだアツい展開や伏線・謎解きがいっぱいありますよ~

    アスナのオーシャンタートル潜入成功
    (Season1第5話)

    神代(こうじろ)博士のアシスタントとしてサクッと潜り込んでいますねぇ。
    これはいわゆる「顔パス」で神代博士が入り、それに連れ立って入っている。
    いわゆる「共連れ」のケースとなります。
    セキュリティは厳密らしいですが…
    (作中金属探知機を3回は潜っているとのセリフあり、あと指紋認証とカードキー認証)
    人のセキュリティはガバガバなようですね。

    対策:
    • セキュリティに例外を設けない
    • 共連れ防止装置の設置(データセンターにあるサークルゲート等)
    • お偉いさんでも事前登録なしでの来訪は禁止する
    • 生体認証情報の事前提出を義務付ける
    等があります
    しかし、それをやってもユイちゃん(ボトムアップ型AI)に改ざんされるのでしょうかねぇw

    一般ユーザーによる全コマンドリストの取得とその実行
    (Season1第12話)

    この世界では「システムコール」をトリガーとして色々な神聖術(リソース制御)が出来ます。
    コマンドは神聖語と呼ばれ、体系は英単語を並べたものとなります。
    Season1のラスボスであるアドミニストレータ(当時はクィネラ)は生涯をかけて、このコマンド解析に勤しむことになります。
    そして老いて床に伏した状態となり、そこでとうとう見つけてしまうのです。
    「システムコール インスペクト リスト」(原作ではinspect entire command list)
    これにより、全コマンドの一覧が表示されてしまいました。
    コマンドの実行権限などは設定されていないので、あとはやりたい放題となりますね。
    そしてその後から、クィネラ改めアドミニストレータとなってしまうのです。

    対策:

    • 一般ユーザーの実行可能なコマンドの制限(コマンド一覧閲覧含む)
    • 一般ユーザーと特権ユーザーの分離(suやsudo的コマンドの禁止)

    権限についてはUNIX的な環境だとよく解ります。
    最近はWindowsでもUAC(ユーザーアカウント制御)がありますので、それで「管理者として実行」するか否かを確認されますね。
    実際はクローズドαテストな環境だったので仕方がないのかもしれませんが、
    開発段階からセキュリティを意識し、対策をしておくのは重要となります。

    ドローン(ミニオン)の無差別攻撃
    (Season1第17話)

    セントラル・カセドラルの外壁上部に設置されたドローンが活動をはじめ、外壁を
    上っていたキリトとアリスに攻撃を仕掛けてきます。
    これは、恐らくアドミニストレータが、外敵への対抗策として設置したものかと思われますが、
    敵味方識別(いわゆるIFF)も無しで攻撃をしてしまいます
    攻撃への防御は必要かと思われますが、これでは味方まで攻撃してしまう事態もあり得ますね。
    対策:

    • IFFの実装を行い、味方への攻撃を避けるようプログラミングする

    まぁこれはあまりITには関係ありませんが、AIによる自律動作ということで。

    特権ユーザーの棚卸不足
    (Season2第3話)
    侵入してきたアメリカの特務部隊がメインコントロールを掌握し、目的であるライトキューブの奪取を目論んでシステムに入ろうとしますが、人界側(ヒューマンエンパイア)の高位アカウントはロックされており使用することができませんでした。
    しかし、もう1方である魔族側(ダークテリトリー)側のアカウントは…ロックされておらず
    使用可能となっていました
    ラーススタッフである比嘉氏もそれをうすうす感じてはいたようですが、思い出せずにいたようです。
    このように、作った当初はよく覚えていても、人間は日数が経過するとすっかり忘れてしまうものです。
    そして利用できたアカウントに「ベクタ」の名前が…
    対策:

    • 特権ユーザーのアカウント棚卸を行い、使用中以外のアカウントをロックする
    • アカウントの使用状況を適宜モニタリングしておく(監査ログとしても有効)


    さて、ここまでサッと述べてみましたが非常に危なっかしいですねぇ…
    この後、更にインシデントが待ち受けていますので、また機会を見て書いてみたいと思います。


  • 広告
  • 話題のPanasonic製ネットワークカメラの設定を検証してみた

    2016-01-20 23:40

    【更新】2016/1/21 Panasonic お知らせ記事の追加

    皆様お久しぶりです。

    丁度タイムリーな話題がありまして、手持ち機器がありましたので簡単に説明の上、検証してみます。

    1.話題について(インターネット公開と不正アクセス)

    ネットワーク機器は、特に意識しないで接続している方が多いと思います。
    閉じたネットワーク(ご家庭内など)であればよくあることです。

    しかし、ちょっと設定を間違えば…全世界に公開している状態になってしまいます(!)
    その状態で、「アクセス制御(ユーザー名・パスワード等)」が無い場合、誰でも中のコンテンツやデーターを見ること(閲覧)が可能です。
    「アクセス制御」が無い状態での閲覧は、不正アクセスにもなりません。
    (詳細は「不正アクセス行為の禁止等に関する法律」を参照ください)
    ※後述しますが、アクセス制御があるサイトで、正当な理由・権限がないのにユーザー名・パスワードを入力して閲覧してしまった場合には、簡単なユーザー名・パスワードの組み合わせでも、法に触れます。ご注意を。

    少し前には「SHODAN」というサイトで色々なものが見れてしまう(特に複合機など)ことが問題視され、IPAなどからも注意が出ておりました。
    【注意喚起】インターネットに接続する複合機等のオフィス機器の再点検を!

    先日、IT速報 というサイトで以下のような情報がありました。

    "日本ではPanasonic製のカメラが覗き見られているもよう。中には銭湯の脱衣所などもあり、セキュリティー意識の低さが物議に。"(引用:IT速報 当該記事

    元記事はTechCrunchのこの記事でした。
    世界中の無防備なWebカメラを見せるInsecam…パスワードに無関心なアドミンが多い
    なぜ2014年11月の記事が話題になったか、は謎ですが…

    その文中にはこんな記載もありました。
    "わざわざ弱いパスワードを使ってWebカメラを一般公開でストリーミングする理由は、どこにもない。ITの連中は、8台のCCTVをセットアップする時、標準の”admin/12345″で楽をしたいと考えるかもしれないが、その怠慢に付け入るのは簡単だ。公開データにアクセスしても犯罪ではないから、プライバシーを守りたかったら、カメラのマニュアルをちゃんと読んで、まともなパスワードを使おう。" (引用:TechCrunch 当該記事

    …はい、賢明な皆様にはもうお解りだと思いますが、上記の状態は「アクセス制御」されている状態となり、いくら簡単なユーザー名・パスワードの組み合わせでも「不正アクセス」となってしまいます
    原文を翻訳したから仕方がないのですが、これは日本の場合、法に触れます!
    皆様もご注意下さい。

    2. Panasonicのネットワークカメラ 設定検証

    上記記事を見て… あれ?コレ持ってるww

    というわけで、検証してみましょう!

    検証に使うのはこちらの2機種
    Panasonic KX-HCM1(有線LANのみ)
    Panasonic KX-HCM170(屋外設置型 無線LAN対応802.11b)



    かなり古い機種(ネットワークI/Fが10Base-Tだったり)ですが、初期のPanasonic製監視カメラとしては売れた機種だった、と記憶しています。
    動画は勿論ですが、一定時間毎に静止画をFTPアップロードする、外部デジタル入力(センサー)でのトリガー機能など、がありました。
    因みにWebサーバー機能内蔵、IEでActiveXが必要だったり、と当時の最先端でしたねー(遠い目)
    開発は当時の九州松下が行っていたようです。

    ではKX-HCM1より
    ・セットアップ
     ネットワークを繋いで付属CD-ROMを入れ、セットアップをしてあげます
     (懐かしいパターンですね)
     セットアップではIPアドレス設定等と、利用帯域幅の設定が可能です

    ・メニュー画面
     すごく…シンプルですね!
     
     ここから、それぞれの画面に移動できます
     今回はアクセス制御の設定を確認したいので、3. 設定画面 に移動します

    ・設定画面
     左側に一通りの項目が並び、右側にその内容が表示されるパターンです
     
     念のため、一度「工場出荷時」に戻しておきました。ついでにファームウェア更新も行っておきました(最終バージョン 1.83)

     アクセス制御 は「管理者」メニューになります
     
     …デフォルトで認証なし、ですか(´・ω・`)


     (´ヘ`;)ウーム…


    はい、じゃ次いきましょー!

    KX-HCM170を起動し、こちらも工場出荷時に戻して、ファームウェア更新を行っておきます
    (殆どKX-HCM1と同じなので省略します ファームウェアも1.83と同じバージョン)

    ・メニュー画面
     ほぼ変わらず
     

     例によって 3.設定画面 に移動します。
     

     アクセス制御は「管理者」メニュー。さて…
     
     …やはり、こちらもデフォルトで認証なし、でしたね(´・ω・`)
     ※下のユーザー名・パスワードは管理者アカウント名・パスワードの設定のみです
      「一般ユーザー」画面で通常ユーザーの追加・削除はできます


    ちょっと不安なので、Panasonicさんのサイトに利用者への注意などあるかどうか、見てみましょう。
    …ありました!
    ネットワークカメラ | オフィス・通信 | 商品情報[法人] | Panasonic
    の右側に注意文PDFへのリンクが!
    (画像右下:「カメラ、レコーダーなどへの不正アクセスにご注意ください」)

    リンク先PDFのプロパティを見ると、2015年3月17日、となっていますので、SHODANなどが表沙汰になった後に注意文をリリースされたようですね。



    3. まとめ
    検証した2台においては、工場出荷時設定ではユーザー名・パスワードが無しでも閲覧可能だったため、その他のPanasonic ネットワークカメラも近い設定かと思われます。
    監視カメラでも肖像権などのトラブルも想定されるため、なるべくユーザー認証を設定すべきでしょう。
    また、Panasonicの警告にもあるように、その他のセキュリティ機器を活用して安全にアクセスできるようにするべきです。

    【追記 1/21 21:00】
    Panasonicさんのサイトに改めて注意が掲載されました。
    インターネット経由でご使用になるネットワークカメラには必ず独自のパスワードを設定してください。
    内容としては以下の3点です。
    • 「ユーザー認証」を「ON」にしていただく。
    • お客様が独自で決められたID/パスワードを設定していただく。
    • 初期ID/パスワードを削除していただく。
    必ず実施しておきましょう!

  • 1Passwordの形式を強固なものにした(Windows 4.x版 Opvault 形式)

    2015-10-19 23:52

    ご無沙汰しております。1Password愛好家(?)のタモです。

    さて、昨日くらいから1Passwordの脆弱性(Agile Keychain)に関するツイートが流れてきております。
    これは以前から言われていて、1Password関連ファイルがよくよく見るとプレーンテキストで中が読めてしまいます
    要は新しい形式である、「OPVault」形式であれば安全、ということです。

    (100%の安全が無いことは、皆さんご存じだと思いますので細かいことは省きます)


    脆弱性の内容について、詳しく知りたい方はMac版に対して記載されているこちらのページをご参照下さい。
    1Passwordの保管庫を安全な「OPVault」に変更する方法|携帯総合研究所

    Windows版は対応方法が明らかにされておりません、とありましたが、探すとサクッと見つかりましたw
    Getting your data into the OPVault format - AgileBits Support Forum

    以下にOPVault形式に変更する手順を記載してみたいと思います。
    なお、現在はAndroid版はOPVault形式をサポートしていない?ようです。
    私はベータテストユーザーであるため、サポートするようにプッシュしてみますが…(´・ω・`)

    内容的には以下の手順です。

    1. 重複を排除したのち、バックアップしてからファイルをエクスポートしておく
    2. OPVault形式の新しいVaultファイルを作成し、インポートする
    3. (DropBox同期の場合)DropBoxにOPVaultファイルを変更する
    4. (DropBox同期の場合)古いVaultファイルを削除/若しくはリネームする


    では詳細を記載していきます。



    注意:記載内容の作業を行う上で、操作ミス等によりデータの破損が想定されます。実行した結果について、私は一切の責任は負いかねますのでそれをご了承の上、以下を見て実施してください。

    (なおWindowsアカウント名が出ていますが、テスト用なので特に問題有りません)


    1. 前提条件:同じ名前のアイテム(Webサイト等のタイトル)があった場合、
      インポート時に間違える可能性があるため、適切にリネームしておく
      (左にあるリストにて、ALL を選択すると全てのアイテムが表示される。そこでTileをクリックすれば名前順でソートされる)
      また、必ずごみ箱(Trush)を空にしておくこと!
      (ごみ箱毎エクスポートされる、という仕様w)

    2. まずはBackup→Back up 1Password Vault... を選択し、バックアップを行う
      (デフォルトでは毎日バックアップはされている)

    3. 次に、File→Export... を選択し、Format リストから「1Password Interchanre File(1PIF)」を選択する。下のボタンは ◎All Items を選択

      マイ ドキュメントに適当な名前をつけて保管する(.1pifファイル)
      なお、このファイルはプレーンテキストなので、作業時及び作業後は取扱に注意する

    4. (画面でも警告が出る)。OKをクリックする

    5. エクスポートされると、結果が表示される(塗りつぶしはitem数)


    6. File→New 1Password Vault... を選択する
      デフォルトの1Passwordフォルダ(マイ ドキュメント\1Password)が開くので、
      場所を確認後、下のファイルの種類から「1Password Vault」形式を選択して「保存(S)」をクリック


    7. すぐにマスターパスワードを入力する画面になるので、マスターパスワードを設定する
      ※以前のマスターパスワードでも良いが、必ず忘れないものとすること!
      入力中は下にパスワード強度が出るので参考まで。


    8. 一旦1Passwordがクローズし、ロックされる
      先程入力したマスターパスワードを入力し、ロックを解除する
      左のリストからAllをクリックし、何もアイテムが無いことを確認する
      File→Import... を選択し、先程バックアップしたファイル(.1pif)を選択する

      インポートが始まったら、「Yes to All」を選択する


    9. 途中、同じ名前のアイテムがあった場合、以下のように表示される。その場合はNoをクリックする

      ただし、これが表示された場合はどこか重複があるので、元データの重複の確認、ごみ箱にも同じ名前がないかを確認してからやり直すことになる

    10. インポートが完了すると以下のメッセージが出る(塗りつぶし部分はアイテム数)
      エクスポート数と一緒であれば一安心?


    11. 念のためインポート結果を各項目で確認する

    12. (インポート不足がある場合)File の下に有る鍵アイコンをクリックすることで、1PasswordのVaultファイルを切り替えることが可能
      失敗していた場合、再度エクスポート>インポートを行う。
      やり過ぎてどのファイルか解らなくなることがあるので注意!
      いっそ全部消去してから再度全てをインポートするのも手段の一つ?

    13. DropBoxで同期している場合)1Password VaultファイルのDropboxへの移動を行う
      File→Prefarences をクリックし、「Move to DropBox」を選択する



    14. (DropBoxで同期している場合)旧Vaultの場所をローカルに変更する
      今の状態ではDropBox上に古いVaultファイルが残っていることになるので…
      フォルダを作成すると面倒なので、Dropboxの直下にある1Passwordフォルダをマイドキュメントにコピーしておく
      その後で1Passwordを起動し、古いVaultファイル(1Password.agilekeychain)を選択してマスターパスワードを入れ、解除する
      File→Prefarences をクリックし、General の「Choose another」をクリックし、先程コピーしたものを選択する


      その後、DropBox上から古い1Passwordフォルダ(DropBox直下の1Password)を削除(心配な場合はリネーム)する

    15. 移行が完了し、他デバイス(PC、スマートフォンクライアント)でも動作に問題が無いことを確認して、古いVaultファイルを削除すればめでたく終了!